TLS 1.0 y 1.1 están obsoletos; use 1.2 o 1.3. Configure cifrados fuertes y deshabilite SSLv3 y anteriores. Pruebe con SSL Labs; active HSTS. Mantenga certificados y bibliotecas actualizados.
Versiones TLS
- TLS 1.2 y 1.3: Estándares actuales. TLS 1.3 es más rápido y elimina opciones legacy. Prefiera 1.3 donde se soporte; permita 1.2 para clientes antiguos.
- TLS 1.0 / 1.1: Obsoletos y deshabilitados por muchos navegadores y cumplimiento (ej. PCI-DSS). No habilite.
- SSLv3 y anteriores: Inseguros; deshabilite en todas partes.
Cifrados
- Cifrados fuertes: Prefiera AEAD (ej. AES-GCM, ChaCha20-Poly1305); evite NULL, export o cifrados débiles.
- Config: En nginx, Apache o su app defina ssl_protocols y ssl_ciphers. Mozilla SSL Config Generator es una buena referencia.
- Bibliotecas: Mantenga OpenSSL u otras bibliotecas TLS actualizadas.
Pruebas y HSTS
- SSL Labs: Ejecute su dominio en ssllabs.com para comprobar protocolo, cifrados, cadena de certificados y problemas comunes.
- HSTS: Active Strict-Transport-Security para que el navegador use solo HTTPS.
- Certificados: Renueve antes de caducar; use cadena válida.
Resumen
Use solo TLS 1.2/1.3; configure cifrados fuertes; deshabilite SSLv3 y TLS antiguos. Pruebe con SSL Labs; active HSTS; mantenga certs y bibliotecas actualizados.
